الفرق بين الهاكر ومختبر الاختراق وباحث امن المعلومات

Hacker VS Penetration Tester VS Security Professional
حبيت احط المقاله هذي نظراً للخلط الكبير الي شفته من قبل الكثير من الهاكرز في الخلط بين التهكير والامنيه. قبل ما ابداء مثلا نشوف هاكرز عربي يستغل فقط ثغره sql او رفع شل ويكتفي بالاندكس ومسمي نفسه باحث امن معلومات ويريد يشارك في مؤتمرات امن معلومات عالمية او يشتغل في شركة ..قد يكون الشخص طامح لهذا الشي ولكن لايبحث عن الطريق الصحيح .
– نبداء بالهاكر طبعا ما رح اشرحه كثير معروف ايش معنى هاكر يقتصر الامر بالاختراق ومالنا دخل في الاحتراف او الهاكر الطفل او الخبير ومن هذا الكلام او ما يستطيع اختراقه فهذه هي مستويات ومراحل الهاكينج .

مختبر الاختراق : طبعا مختبر الاختراق هو هاكر اخلاقي يختص عملة في تطبيق اختراق على هدف معين من اجل اعطاء تقرير بالثغرات
وهناك فرق بين اختبار الاختراق وفحص الثغرات
* اختبار الاختراق يتم فحص الثغرات وأستغلالها وتطبيقها وأعطاء تقرير درجة خطورتها وماهي تأثير الثغره وأرشادات نظريه لكيفية اصلاحها .
طبعاً يتطلب معرفة في لغات البرمجة واساسيات مثلا في asp.net ,php ,protocols فمن دون المعرفة لا تستطيع انجاز ما يسمى اختبار اختراق لان الناتج عبارة عن تقرير .
مثلا : ثغرة sql injection درجة الخطوره عاليه .التأثير : تنفيذ استعلام في قواعد البيانات
ترقيع الثغره : اضافة قيود لجمل select
هذا كان مثال.
*النوع الثاني فحص الثغرات يكفتي بذكر الثغره من دون استغلال والتي تسمى
vulnerabilities assessment
وهناك عدة مجالات لاختبار الاختراق مثل اختبار اختراق تطبيقات الويب وأختبار اختراق الشبكات .
web application penetration test
network penetration test
-الباحث في امن المعلومات او يمكن نسميه مهندس امن معلومات :
هي مرحلة متقدمه ويفضل امتلاك باحث امن المعلومات شهادة الهاكر الاخلاقي او معرفة بأساليب الاختراق ومعرفة نظريه في تقنية المعلومات مثل الشبكات والويب والسيرفرات software and hardware
وأيضا طرق توفير الحلول لكل المشاكل الامنيه من ناحية ثغرات وأدارة المخاطر والتهديدات وأيجاد حلول وتحديد الانظمه المناسبة لأتخاذها والتي تغطي software and hardware
وأهم شرط الاطلاع على جديد الثغرات ومتابعة اخبارها ويفضل ان يكون لديه خبره في اكتشاف الثغرات ولكن ليست شرطاً .
وهناك مراحل متقدمه مثل الشهائد العالمية في امن المعلومات وتطبيق معايير الدوليه لأمن المعلومات مثل ISO 27001 حيث تطلب معرفة وخبره نظرية في تطبيق معايير يتم استخدامها في الشركات والمؤسسات تظمن مرور العملية الامنيه عبر معايير دولية مثلا عند زيارة بعض المواقع وتطلب التسجيل تلاحظ ان الموقع يطلب منك باسورد معقده جداً بحيث تحتوي رموز وأرقام وحروف صغيره وكبيره الموقع او مبرمج الموقع لم يتخذ هذا ولكن تطبيق الشركه او الموقع لمعايير يلزم الامر عمل هذا وهذا ما تحتويه معايير ISO .

هذا كان تعريف مبسط والموضوع لديه تفاصير اكثر من ناحية امن المعلومات ولكن اخذ فكرة قبل اتخاذ اي مسمى .

سوف يتم التطرق الى المزيد من التفاصيل في امنية المعلومات في مواضيع قادمة .

شارك هاذا المقال !

شاجع

Penetration Test ,Cyber Security , E-forensic ,Cloud Security, Risk Management,Vulnerabilities hunting ,and Programming

لا توجد تعليقات

أضف تعليق